Intervention de Albane Gaillot

Je tiens au préalable à remercier la commission des Lois pour son accueil chaleureux.

La commission des Affaires sociales s'est saisie pour avis des articles 7, 9 et 13 du projet de loi, sur lesquels elle a émis aujourd'hui un avis favorable. Je ne reviendrai pas sur la présentation de ces articles et concentrerai plutôt mon intervention sur les défis que représente le nouveau cadre juridique européen et national. Les responsables de traitement seront demain des acteurs déterminants du respect du nouveau cadre légal. L'appropriation des normes et leur impact économique ont été régulièrement abordés au cours des auditions que j'ai menées. Une certaine anxiété demeure et se nourrit parfois de la rédaction qui a été retenue. Sur ce point, il me semble nécessaire de faire oeuvre de pédagogie.

Rappelons tout d'abord que la protection des données à caractère personnel n'est pas née avec le RGPD mais existe depuis 1978. En somme, nombreux sont les acteurs qui découvrent aujourd'hui qu'ils agissent en marge et parfois en infraction avec le droit en vigueur. Il importe donc de les accompagner dans l'application des normes européennes et nationales ; c'est à mon sens le premier défi.

Le deuxième défi concerne la CNIL. Elle a parfaitement anticipé les évolutions du RGPD en adoptant une doctrine d'emploi et en accompagnant les différents acteurs. Divers packs sectoriels ont ainsi été adoptés – le pack assurance, par exemple. La puissance publique doit quant à elle prendre toute sa part pour faciliter la transformation de la CNIL vers ce rôle d'accompagnateur en renforçant ses capacités opérationnelles ; c'est un enjeu majeur.

Le dernier défi concerne les acteurs des données. J'entends par là les citoyens eux-mêmes, qui sont producteurs de données, ainsi que les responsables de traitement. Le principe de vigilance formulé par la CNIL dans sa synthèse du débat public qu'elle a animé dans le cadre de l'examen de la loi pour une République numérique nécessite que les citoyens s'approprient davantage la notion de consentement accordé à l'utilisation de leurs données personnelles, particulièrement de leurs données de santé. Un réel fossé existe entre le souci de protéger ces données et l'empressement quant au consentement accordé afin de profiter des outils de la vie quotidienne. J'ai notamment vu des internautes publier des informations relatives à leur santé – comme le NIR – sur les réseaux sociaux. Ce fossé doit être comblé. Dans un univers où tout a tendance à être numérisé, il nous faut donc entreprendre un ambitieux chantier de sensibilisation.

Ce dernier défi concerne aussi ceux qui seront appelés à participer au traitement de données à caractère personnel. S'agissant des données de santé, je pense aux professionnels de santé, aux industriels et aux organismes de recherche. Le recueil du consentement, le droit à l'information, le droit de rectification supposent de leur part une démarche éthique qui compte autant que la qualité des données recueillies. Cette démarche s'appliquerait aussi bien à la collecte des informations qu'au stade de leur traitement et de leur analyse. Je salue donc les orientations prises dans le texte qui visent à développer des labels et des certifications en appuyant l'idée d'un label éthique.

Il va de soi que tous ces enjeux n'appellent pas une réponse dans ce projet de loi. Il me semble cependant utile d'être attentifs à ces points si l'on souhaite que ce nouveau cadre réponde aux besoins sociétaux et à la demande de protection.